Pour améliorer une réponse aux cyberattaques encore très fragmentaire, les actions se déclinent sur de multiples facettes : de la sensibilisation des utilisateurs aux poursuites policières et légales en passant par la mise en place de système d’information mieux protégés, de logiciels avec moins de failles et par le partage d’information à tous les étages. Pour l’heure, si la prise de conscience est réelle et de nombreuses actions engagées, des goulots d’étranglements majeurs demeurent.

Si les entreprises comme les entités publiques se doivent de renforcer la sécurité de leur système d’information, souvent déficiente en particulier pour la facette cyber, l’État comme les fournisseurs ont aussi un rôle à jouer. Pour le premier, de récentes annonces, comme la montée en puissance de la cyber gendarmerie ou encore l’attribution d’un milliard d’euros pour développer la filière, (annonce en février d’Emmanuel Macron) vont dans le bon sens. Mais des goulots d’étranglement rendent caduques une partie des actions en particulier sur le plan judicaire. Illustration la plus criante, une section de magistrats à compétence nationale et rattachée au parquet de Paris (section J3 de la 3eme division) est chargée de la cybercriminalité. Elle prend en charge les dossiers les plus lourds, pour lesquels les attaquants sont le plus souvent localisés à l’étranger, ce qui complique le traitement des dossiers. On parle là de centaines de dossiers en attente. Les cyber gendarmes ont lancé environ 270 enquêtes en 2020 sans compter celles suivies par leurs homologues de la police. Mais problème : ces dossiers souvent en attente sont pris en charge par une équipe de …3 magistrats ! Des chiffres qui donne une consistance à l’impunité des cybercriminels de haut vol. Pour rappel, le plan présenté par le gouvernement en février n’aborde pas le volet du traitement policier et judiciaire de la cybercriminalité.

Des normes de sécurité pour le numérique

Le Cigref pointe une autre faiblesse liée cette fois aux fournisseurs. « Le secteur numérique, logiciel en particulier, est le seul à ne pas être soumis à la responsabilité du fournisseur. Pour tous les autres, de l’automobile à l’alimentaire en passant par l’outillage, le fabriquant est soumis à des normes de sécurité et reste responsable en cas de dysfonctionnement. Dans le cas du numérique, aucune norme minimale de sécurité n’est imposée. L’utilisateur reste seul responsable », souligne Henri D’Agrain, secrétaire général du Cigref.

Un constat qui fait écho à d’autres initiatives. En novembre 2020, plusieurs pays, l’Allemagne et la Finlande en Europe, avaient lancé, ou envisageaient de le faire, des labels sur la sécurité́ numérique applicables à des produits comme les box grands publics et les routeurs. Plus récemment, en février dernier, le rapport de l’OCDE « Enhancing the digital security of products : a policy discussion » préconisait que les fournisseurs deviennent, au moins en partie, responsables des failles de leur produits.
En France, la Commission supérieure du numérique et des postes, composée de 7 sénateurs d’autant de députés, a entre autres rebondi sur ce rapport pour recommander l’adoption de normes minimales de sécurité sur tous les produits et services numériques avant leur mise sur le marché.

La collaboration comme réponse

Toutes ces initiatives ne suffiront pas à garantir une sécurité exhaustive. Une meilleure défense passe également par une collaboration entre toutes les parties concernées. Localement, le lancement de CERTs régionaux ou sectoriels, comme France Cyber Maritime, devrait améliorer la réponse aux attaques. Dans la même logique, le Cigref et Kaspersky président de concert le groupe de travail 6 dans le cadre de l’Appel de Paris pour la Confiance et la Sécurité dans le Cyberespace. L’objectif de ce groupe est d’élaborer des propositions concrètes permettant d’améliorer le niveau de sécurité du cyberespace. Les premiers travaux devraient être présentés pendant le Paris Peace Forum de 2021 en novembre.

La réponse s’organise. Reste à lever « les maillons faibles ».